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Beschreibung 

Verfahren zum Zugriff auf eine Datenverarbeitungsanlage 

Die Erfindung betrifft ein Verfahren zum Zugriff auf eine Da- 
tenverarbeitungsanlage . 

Nach dem Stand der Technik sind weithin Datenverarbeitungsan- 
lagen bekannt, die aus einer Mehrzahl miteinander zum Daten- 
austausch vernetzter Datenverarbeitungseinheiten, z. B. Per- 
sonalcomputer, • computergesteuerte Gerate, Server und dgl . ," 
bestehen. Dabei ist jeder Datenverarbeitungseinheit eine be- 
schrankte Zahl von Benutzern zugewiesen. Urn eine unbefugte 
Benutzung einer Datenverarbeitungseinheit zu unterbinden, 
verfugt jeder Benutzer liber ein personliches Passwort. Durch 
Eingeben des Passworts authentif iziert sich der Benutzer und 
erhalt Zugriff auf die Datenverarbeitungsanlage . 

Insbesondere in Krankenhausern sind Datenverarbeitungsanlagen 
heute komplex auf gebaut . Bestandteil solcher Datenverarbei- 
tungsanlagen sind u. a. Diagnose- und Analysegerate. Derarti- 
ge Gerate mussen stets in einem einwandf reien Funktionszu- 
stand gehalten werden. Insbesondere eine Wartung und eine Re- 
paratur derartiger Gerate erfordert in der Regel einen 
Zugriff eines Systemtechnikers auf die Datenverarbeitungsan- 
lage. Ein nach wie vor ungelostes Problem dabei ist, dass da- 
mit der Systemtechniker u. U. Zugriff auf personenbezogene 
Patientendaten erhalten kann. Aus datenschutzrechtlichen 
Grunden darf ein Zugriff auf eine solche Datenverarbeitungs- 
anlage nur nach dem 4-Augen-Prinzip erfolgen, d. h. nur 
gleichzeitig durch zwei befugte Personen. In der Praxis lasst 
sich das allerdings kaum realisieren, weil im Falle einer 
Funktionsstorung einer Datenverarbeitungsanlage in der Regel 
eine sofortige Abhilfe erforderlich ist und mitunter zwei be- 
fugte und zur Behebung der Funktionsstorung ausreichend qua- 
lifizierte Systemtechniker nicht iiraier gleichzeitig verfiigbar 
sind. 
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Aufgabe der Erfindung ist es, die Nachteile nach dem Stand 
der Technik zu beseitigen. Es soil insbesondere ein Verfahren 
angegeben werden, welches einen Zugriff auf eine Datenverar- 
beitungsanlage lediglich nach dem Grundsatz des 4-Augen- 
Prinzips ermoglicht . 

Diese Aufgabe wird durch die Merkmale des Anspruchs 1 gelost. 
ZweckmaSige Ausgestaltungen des Verfahrens ergeben sich aus 
den Merkmalen der Anspriiche 2 bis 13. 

Nach Mafigabe der Erfindung ist ein Verfahren zum Zugriff auf 
eine Datenverarbeitungsanlage vorgesehen, welche aus mitein- 
ander zum Datenaustausch vernetzten Datenverarbeitungseinhei- 
ten gebildet ist, mit folgenden Schritten: 

Bereitstellen eines ersten Authentif izierungsmittels zur Au- 
thentif izierung eines Systemadministrators , 

Authentif izierung des Systemadministrators an einer ersten 
Datenverarbeitungseinheit durch Ubergabe des ersten Authenti- 
f izierungsmittels an ein Authentif izierungsprogramm, 

Bereitstellen eines zweiten Authentif izierungsmittels zur Au- 
thentif izierung eines Systemtechnikers, 

Authentif izierung des Systemtechnikers an einer zweiten Da- 
tenverarbeitungseinheit durch Ubergabe des zweiten Authenti- 
f izierungsmittels an das Authentif izierungsprogramm, und da- 
durch bedingtes automatisches Erzeugen einer den Trager des 
zweiten Authentif izierungsmittels identif izierenden Identifi- 
kationsinf ormation, 

Freischalten einer Zugangsberechtigung fur den Systemtechni- 
ker und bedingtes automatisches Auslosen einer Funktion zum 
Erzeugen und Speichern einer die Tatigkeit des Systemtechni- 
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kers an der Datenverarbeitungsanlage protokollierenden Proto- 
kolldatei . 

Nach dem erf indungsgemaSen Verfahren erhalt der Systemtechni- 
ker erst nach Ubergabe eines ihm zugewiesenen zweiten Authen- 
tif izierungsmittels Zugang zur Datenverarbeitungsanlage. Die 
Freischaltung eines solchen Zugangs wird durch das Erzeugen 
einer Identif izierungsinf ormation dokumentiert und kann dem 
Systemadministrator angezeigt werden. Es wird aufierdem eine 
die Tatigkeit des Systemtechnikers protokollierende Proto- 
kolldatei erzeugt, anhand derer der Eingriff des Systemtech- 
nikers beispielsweise fur den Systemadministrator nachvollzo- 
gen werden kahn. Damit ist gewahrleistet , dass die Datenho- 
heit stets der Systemadministrator inne hat. Anhand der er- 
zeugten Protokolldateien ist es ihm moglich zu priifen, ob ein 
Systemtechniker unbefugterweise auf Daten zugegriffen hat. In 
diesem Fall kann der Systemadministrator sofort jeglichen 
weiteren Zugang zur Datenverarbeitungsanlage fur den betref- 
fenden Systemtechniker sperren. Mit dem vor^eschlagenen Ver- 
fahren wird ein Zugriff auf eine Datenverarbeitungsanlage 
nach dem Grundsatz des 4-Augen-Prinzips ermoglicht. Dabei ist 
es von besonderem Vorteil, dass ein solcher Zugriff auch dann 
erfolgen kann, wenn mit Kenntnis des Systemadministrators le- 
diglich ein Systemtechniker an einer Datenverarbeitungsein- 
heit tatig ist. 

Unter dem Begriff "Zugriff" wird im Sinne der vorliegenden 
Erfindung jegliche Tatigkeit verstanden, bei welcher der Da- 
tenbe stand einer Date— v=er arb ^rl t^ gs an 1 age gesichtet, veran- 
dert oder ganz oder teilweise kopiert wird. Bei einer "Daten- 
verarbeitungseinheit " im "Sinne der vorliegenden Erfindung 
handelt es sich um eine Vorrichtung, welche mit anderen zum 
Datenaustausch geeigneten Vorrichtungen zum Datenaustausch 
verbunden ist. Derartige Vorrichtungen weisen. ziom Datenaus- 
tausch ublicherweise eine bidirektionale Schnittstelle auf. 
Es kann sich dabei um einen Personalcomputer , um computerge- 
steuerte Anlagen oder Gerate und dgl. handeln. 



200315168 ' 



4 

Unter dem Begriff " Systemadministrator 11 wird eine Person ver- 
standen, welche besondere Rechte im Hinblick auf die Pflege 
und Wartung der Datenverarbeitungsanlage hat. Der Systemadmi- 
5 nistrator im Sinne der vorliegenden Erfindung hat im Gegen- 
satz zu einem Systemtechniker die Moglichkeit, einen Zugang 
zur Datenverarbeitungsanlage zu gestatten oder zu sperren. 
Diese Moglichkeit wird dem Systemadministrator insbesondere 
durch das erste Authentif izierungsmittel zugewiesen. 

10 

Zur Authentif izierung des Systemtechnikers kann das zweite 
Authentif izierungsmittel mittels des Authentif izie- 
rungsprogramms durch Zugriff auf eine verifizierte zweite Au- 
thentif izierungsmittel enthaltende Datei verglichen und bei 
15 Ubereinstimmung mit einem der verif izierten zweiten Authenti- 
f izierungsmittel eine entsprechende Information an den Sys- 
temadministrator ubermittelt werden. Unter einem "verif izier- 
ten zweiten Authentif izierungsmittel" wird eine Kopie des an 
den Systemtechnikers ubergebenen zweiten Authentif izierungs- 
20 mittels verstanden, welche vom Systemadministrator in einer 
nur ihm zuganglichen Datei verwaltet wird. Zum Zugriff auf 
die Datenverarbeitungsanlage iibergibt der Systemadministrator 
an jeden Systemtechniker ein besonderes zweites Authentif i- 
zierungsmittel . Zur Erleichterung der Prufung der Authentizi- 
tat der zweiten Authentif izierungsmittel werden diese gemein- 
sam in der Datei abgelegt. Sofern das Authentif izie- 
rungsprogramm feststellt, dass eine Zugriff sanforderung auf 
der Grundlage eines mit einem verif izierten zweiten Authenti- 
f izierungsmittel identischen zweiten Authentif izierung smit- 
3 0 tels vorliegt, wird dem Systemadministrator das anhand einer 
geeigneten Information angezeigt. Vorteilhaf terweise ist je- 
dem in der Datei enthaltenen verif izierten zweiten Authenti- 
f izierungsmittel eine dafur spezifische Identif ikationsinf or- 
mation zugeordnet . Es kann sich dabei beispielsweise urn den 
35 Namen und ggf . die Zugehorigkeit des Systemtechnikers zu ei- 
ner bestimmten Organisation handeln. Im Falle einer Uberein- 
stimmung des zweiten Authentif izierungsmittels mit einem der 
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in der Datei hinterlegten verif izierten zweiten Authentifi- 
zierungsmittel konnen dem Systemadministrator also zusatzlich 
der Name und die Organisation des Systemtechnikers angezeigt 
werden . 

In einem besonders einfachen Fall handelt es sich beim ersten 
und/oder zweiten Authentif izierungsmittel urn einen, vorzugs- 
weise mittels einer an einer Datenverarbeitungseinheit vorge- 
sehenen Tastatur, an das Authentif i z i erungspr ogr amm ubergeb- 
baren Authentif izierungscode . Zur Erhohung der Sicherheit ist 
es zweckmafeig, dass der Authentif izierungscode in einer mobi- 
len, mit der Datenverarbeitungsanlage zur Datenubertragung 
verbindbaren Speichereinheit gespeichert ist. Bei der Spei- 
chereinheit kann es sich urn eine mit einem Datentrager verse- 
hene Authentif izierungskarte handeln. Die Authentif izie- 
rungskarte kann ein Speichermittel , insbesondere zum Spei- 
chern der Protokolldatei und/oder eine den Zugriff auf die 
Protokolldatei ermoglichenden Information, aufweisen. Bei der 
Information kann es sich beispielsweise um einen "Link" han- 
deln, anhand dessen die Protokolldatei aufgefunden und geoff- 
net werden kann. 

Zur Erhohung der Sicherheit kann das Freischalten einer Zu- 
gangsberechtigung durch den Systemadministrator durch manuel- 
les Auslosen einem im Authentif izierungspr ogr amm dafiir vorge- 
sehenen und ausschlieSlich dem Systemadministrator zugangli- 
chen Funktion erfolgen. Damit ist sichergestellt , dass ein 
Zugriff nur mit aktiver Zustimmung des Systemadministrators 
erfolgt. Es kann aber auch sein, dass der Zugriff nach einer 
automatischen Priifung des zweiten Authentif izierungsmittels 
dem Systemtechniker automatisch eingeraumt wird. Auch in die- 
sem Fall wird erf indungsgemaS automatisch insbesondere eine 
Protokolldatei erstellt. Das ermoglicht einen Zugriff auf Da- 
tenverarbeitungsanlagen, insbesondere in Krankenhausern, die 
ununterbrochen funktionsbereit gehalten werden mussen. 
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Nach einer weiteren Ausgestaltung ist vorgesehen, dass die 
Verbindung zwischen der ersten und der zweiten Datenverarbei- 
tungseinheit iiber das Internet oder ein Intranet hergestellt 
wird. Das ermoglicht einen Zugriff des Systemtechnikers von 
einer entfernt vorgesehenen zweiten Datenverarbeitungsein- 
heit. Es ist somit moglich, dass ein fur die jeweilige Prob- 
lemstellung optimal qualif izierter Systemtechniker jederzeit, 
d. h. unabhangig von seinem Auf enthaltsort , auf die Datenver- 
arbeitungsanlage zugreifen kann. Das ermoglicht eine schnelle 
und effektive Beseitigung von Funktionsstorungen . Gleichzei- 
tig wird dabei die Authentizitat des zugreifenden Systemtech- 
nikers sichergestellt und dessen Tatigkeit protokolliert . Der 
Zugriff des Systemtechnikers erfolgt auch in diesem Fall nach 
dem Grundsatz des 4-Augen-Prinzips . Mittels der Datenverar- 
beitungsanlage werden insbesondere Daten verarbeitet, welche 
einer einzelnen Person nur mit besonderer Berechtigung oder 
bei Nichtvorliegen der besonderen Berechtigung nur Personen 
mit einer einfachen Berechtigung nach dem 4-Augen-Prinzip zu- 
ganglich gemacht werden durfen. Die besondere Berechtigung 
wird zweckmafiigerweise durch Ubergabe eines der Person zuge- 
wiesenen dritten Authentif izierungsmittels an die Datenverar- 
beitungsanlage nachgewiesen . Bei der einzelnen Person mit be- 
sonderer Berechtigung kann es sich beispielsweise um einen 
Arzt handeln. Bei den Daten kann es sich um schutzbedurf tige 
personenbezogene Daten, insbesondere Patientendaten, handeln. 

Nachfolgend wird ein Ausf iihrungsbei spiel der Erfindung anhand 
der Zeichnung naher erlautert . Es zeigen: 

Fig. 1 das Verfahren anhand einer schematischen Ubersicht 
und 

Fig. 2 die wesentlichen Bestandteile eines Authentif izie- 
rungsprogramms . 

Fig. 1 zeigt schematisch eine erste Datenverarbeitungseinheit 
1, z. B. einen Personalcomputer . Die erste Datenverarbei- 
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tungseinheit 1 ist Bestandteil einer ersten vernetzten Daten- 
verarbeitungsanlage Dl, welche als weitere Datenverarbei- 
tungseinheiten z. B. computergesteuerte Gerate 2 oder weitere 
Personalcomputer 3 umfasst. Die erste Da tenverarbei tungsein- 
heit 1 ist einem Systemadministrator 4 zugewiesen, der die 
Datenhoheit iiber die erste Datenverarbeitungsanlage Dl inne 
hat, Der Systemadministrator 4 ist insbesondere dazu berech- 
tigt, mittels eines ersten Programs 5 Benutzern der ersten 
Datenverarbeitungsanlage Dl Rollen und Rechte zuzuweisen. 
Derartige Rollen und Rechte ermoglichen dem jeweiligen Benut- 
zer lediglich Zugang zu den fur seinen Arbeitsbereich notwen- 
digen Daten. Die Benutzer konnen auf solchen Daten jederzeit 
Zugreifen, d. h. auch wenn der Systemadministrator 4 night in 
die erste Datenverarbeitungsanlage Dl eingeloggt ist. 

Die erste Datenverarbeitungsanlage Dl ist iiber eine mit einer 
Firewall 6 gesicherte Datenleitung 7 mit einer zweiten Daten- 
verarbeitungsanlage D2 einer Serviceorganisation verbunden. 
Die Verbindung kann beispielsweise iiber das Internet oder ein 
Intranet hergestellt werden. Die zweite Datenverarbeitungsan- 
lage D2 umfasst eine zweiten Datenverarbei tungseinheit 7, z. 
B. einen Personalcomputer, die einem Systemtechniker 8 zuge- 
wiesen ist. 

Der Systemadministrator 4 besitzt zu seiner Authentif izierung 
eine erste Speicherkarte 9, auf der ein erster Authentif izie- 
rungscode gespeichert ist. Der erste Authentif izierungscode 
kann mittels eines geeigneten Lesegerats der ersten Datenver- 
arbeitungsanlage Dl zum Auslesen bereitgestellt werden. Der 
Systemtechniker 8 besitzt zu seiner Authentif izierung eine 
zweite Speicherkarte 10, auf der ein zweiter Authentif izie- 
rungscode gespeichert ist. Mittels eines geeigneten Lesege- 
rats kann der zweite Authentif izierungscode ausgelesen und 
der ersten Datenverarbeitungsanlage Dl zuganglich gemacht 
werden. Die Leseeinheit zum Auslesen der zweiten Speicherkar- 
te 10 muss dabei nicht unbedingt Bestandteil der ersten Da- 
tenverarbeitungsanlage Dl sein. Sie kann auch Bestandteil der 
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zweiten Datenverarbeitungsanlage D2 sein. In diesem Fall kann 
die Auttientizitat des zweiten Authentif izierungs codes mittels 
eines zweiten bei der zweiten Datenverarbeitungsanlage D2 
vorgesehenen Programms 11 vor dem Versuch eines Zugriffs auf 
die erste Datenverarbeitungsanlage Dl gepruft werden. 

Die Funktion der Vorrichtung ist folgende: 

Zunachst schlieSen ein fur die erste Datenverarbeitungsanlage 
Dl verantwortlicher IT-Manager 12 und eine Serviceorganisati- 
on bzw. der Systemtechniker 8 einen Servicevertrag ab. Nach 
Abschluss eines solchen Servicevertrags erhalt der System- 
techniker 8 vom IT-Manager 12 eine zweite Speicherkarte 10, 
auf welcher der zweite Authentif izierungscode gespeichert 
ist . 

Bei einem ersten Wartungs-/Repara turf all fordert der System- 
administrator 4 mittels Telefonanruf oder per E-Mail eine 
Serviceleistung vom Servicetechniker 8 ab. Dabei kann es sich 
um eine Serviceleistung handeln, die von der zweiten Daten- 
verarbeitungseinheit 7 aus erledigt werden kann. In diesem 
Fall ubergibt der Servicetechniker 8 die zweite Speicherkarte 
10 an ein bei der zweiten Datenverarbeitungseinheit 7 vorge- 
sehenen Lesegerat. Inf olgedessen wird der den Servicetechni- 
ker 8 authentif izierende zweite Authentif izierungscode inner- 
halb der zweiten Datenverarbeitungsanlage D2 an das zweite 
Program 11 ubermittelt. Der zweite Authentif izierungscode 
wird gepruft, Sofern das zweite Program 11 den zweiten Au- 
thentif izierungscode als authentisch erkennt, wird uber die 
Datenleitung 7 eine Verbindung zur ersten Datenverarbeitungs- 
anlage Dl hergestellt. Mittels des ersten Programms 5 wird 
der gewunschte Zugriff gepruft. Dazu wird zunachst gepruft, 
ob die erste Speicherkarte 9 in einem Lesegerat, z. B. bei 
der ersten Datenverarbeitungseinheit 1, eingesteckt ist. So- 
fern das nicht der Fall ist, wird ein Zugriff durch den Sys- 
temtechniker 8 nicht ermoglicht. Sofern ein Zugriff auf den 
auf der ersten Speicherkarte 9 gespeicherten ersten Authenti- 
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f izierungscode zur Authentif izierung des Systemadministrators 
4 moglich ist, wird der zweite Authentif izierungscode mit ei- 
ner Mehrzahl von in einer Datei gespeicherten zweiten Authen- 
tif izierungscodes verglichen. Sofern der zweite Authentif i- 
zierungscode als nicht authentisch erkannt wird, wird ein Zu- 
gang fur den Systemtechniker 8 nicht ermoglicht. Sofern der 
zweite Authentif izierungscode als authentisch erkannt wird, 
wird eine Protokollfunktion ausgelost. Gleichzeitig erhalt 
der Systemtechniker 8 Zugriff auf die erste Datenverarbei- 
tungsanlage Dl . Solange der Servicetechniker 8 auf die erste 
Datenverarbeitungsanlage Dl zugreift, werden samtliche Ande- 
rungen, Erganzungen und dgl . am Datenbestand der ersten Da- 
tenverarbeitungsanlage Dl protokolliert . Sobald der System- 
techniker 8 seine Tatigkeit abgeschlossen und sich ausgeloggt 
hat, wird die Protokolldatei geschlossen. 

Die Protokolldatei enthalt neben dem Protokoll iiber samtliche 
Anderungen, Erganzungen und dgl. am Datenbestand der ersten 
Datenverarbeitungsanlage Dl vorteilhaf terweise zusatzlich die 
20 folgenden Inf ormationen : 

Name des Systemtechnikers , 

Name der Serviceorganisation, 

Login- /Logout-Zeit, 

- Art des Zugangs, ggf . Identif ikation der zum Zugang ver- 
wendeten Datenverarbeitur_gs^irJheit . 

30 

Bei einem zweiten W ctr Lung s- / Reyaid turf all fordert der System- 
administrator mittels des Telef onanruf s oder per E-Mail eine 
Serviceleistung vom Servicetechniker 8 an, welche vor Ort 
auszufuhren ist. Es kann sich dabei z. B. urn einen Austausch 
35 eines Moduls bei einem Rontgen-Computertomograf en in einem 
Krankenhaus handeln. In diesem Fall loggt sich der Service- 
techniker 8 an einer geeigneten Datenverarbeitungseinheit der 
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ersten Datenverarbeitungsanlage Dl unter Verwendung der zwei- 
ten Speicherkarte 10 ein. Ein Zugriff ist auch in diesem Fall 
nur dann moglich, wenn gleichzeitig der Systemadministrator 4 
unter Verwendung der ersten Speicherkarte 9 bei der ersten 
Datenverarbeitungsanlage Dl eingeloggt ist. 

Nach einer weiteren vorteilhaf ten Funktion kann der Systemad- 
ministrator 4 jederzeit die Tatigkeit des Systemtechnikers 8 
unterbrechen, indem er einen Zugriff auf die erste Datenver- 
arbeitungsanlage Dl durch Unterbrechung des Zugriffs auf den 
ersten Authentif izierungscode unterbricht. Das kann z. B. da- 
durch erfolgen, dass der Systemadministrator 4 die erste 
Speicherkarte 9 aus dem betreffenden Lesegerat herausnimmt. 
Im Gegensatz zu herkommlichen Verfahren behalt nach dem er- 
f indungsgemaSen Verfahren der Systemadministrator 4 also 
stets die Datenhoheit. Aufierdem ist es anhand der automati- 
schen Protokollierungsfunktion moglich, samtliche Tatigkeiten 
des Systemtechnikers 8 nachzuvollziehen. Im Falle eines Miss- 
brauchs kann ein weiterer Zugriff vom Systemadministrator 8 
auf die erste Datenverarbeitungsanlage Dl ohne weiteres ge- 
sperrt werden. Dazu muss lediglich der in der Datei gespei- 
cherte betreffende zweite Authentif izierungscode entfernt o- 
der geandert werden. 

Mit dem vorgeschlagenen Verfahren ist ein Zugriff des System- 
technikers 8 auf den Datenbestand der ersten Datenverarbei- 
tungsanlage Dl nur nach dem 4-Augen-Prinzip moglich, d. h. 
ein solcher Zugriff erfolgt stets unter der Kontrolle des 
Systemadministrators 4. Insoweit kann ein unbefugter Zugriff 
des Systemtechnikers 8 auf schutzbedurf tige personenbezogene 
Daten, z. B. Patientendaten, unterbunden werden. 

Fig. 2 zeigt schematisch die wesentlichen Bestandteile des 
ersten Programms 5 . Mit UIl ist eine erste Benutzerschnitt- 
stelle zum Zugriff von der ersten Datenverarbeitungsanlage Dl 
und mit UI2 eine zweite Benutzerschnittstelle zum Zugriff z. 
B. iiber die Datenleitung 7 bezeichnet. 
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Ein Zugrif f smodul 13 ermoglicht Oder sperrt einen Zugriff fur 
einen Systemtechniker 8 auf die erste Datenverarbeitungsanla- 
ge Dl . Das Zugrif f smodul 13 verwaltet und vergleicht insbe- 
5 sondere Authentif izierungscodes . 

Vorteilhaf terweise kann das erste Programm 5 weitere Module 
aufweisen, welche insbesondere Wartungs- und/oder Reparatur- 
arbeiten an der ersten Datenverarbeitungsanlage Dl erleich- 
10 tern. So kann z. B. ein Lokalisierungsmodul 14 vorgesehen 

sein, mit dem festgestellt werden kann, an welcher Datenver- 

•arbeitungseinheit ein qualif izierter Systemtechniker 8 gerade 
tatig und ggf- abrufbar ist. 

15 Mit dem Protokollierungsmodul 15 wird eine Protokollierung 

der Tatigkeit des Systemtechnikers 8 bewirkt. Mit dem Proto- 
kollierungsmodul 15 werden insbesondere Protokolldateien er- 
stellt und an einem vorgegebenen Ort abgelegt. 

20 Ein Anonymisierungsmodul 16 dient insbesondere dazu, schutz- 
bedurftige personliche Daten zu anonymisieren. So konnen z. 
B. Namen von Patienten durch Kennziffern ersetzt werden, um 
einen Systemtechniker 8 entsprechend den Datenschutzvor- 

•schriften einen Einblick in personliche Daten unmoglich zu 
machen . 

Mit Hilf smodulen 17, 18 wird eine Beschreibung der fur den 
Systemadministrator 4 und den Systemtechniker 8 notwendigen 
Funktionen des ersten Programs 5 bereitgestellt . Ein Modali- 
30 tatsmodul 19 ermoglicht einen Datenaustausch, z. B. mit com- 
putergesteuerten Geraten, wie Rontgen-Computertomografen 
usw. . In ahnlicher Weise ermoglicht ein IT-Systemmodul 20 ei- 
nen Datenaustausch mit Datenbanken etc. 

35 Ein Betriebssystemmodul 21 schafft die notwendigen Vorausset- 
zungen fiir eine korrekte Einbindung des ersten Programms 5 in 
das jeweils benutzte Betriebssystem. 
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Patentanspriiche 

1 . Verf ahren zum Zugriff auf eine Datenverarbeitungsanlage 
(Dl) , welche aus miteinander zum Datenaustausch vernetzten 

5 Datenverarbeitungseinheiten (1, 2, 3) gebildet ist, mit 

folgenden Schritten: 

Bereitstellen eines ersten Authentif izierungsmittels (9) zur 
Authentif izierung eines Systemadministrators (4) , 

Authentif izierung des Systemadministrators (4) an einer ers- 
ten Datenverarbeitungseinheit (1) durch Ubergabe des ersten 
Authentif izierungsmittels (9) an ein Authentif izie- 
rungsprogramm (5) , 

Bereitstellen eines zweiten Authentif izierungsmittels (10) 
zur Authentif izierung eines Systemtechnikers (8) , 

Authentif izierung des Systemtechnikers (8) an einer zweiten 
20 Datenverarbeitungseinheit (7) durch Ubergabe des zweiten Au- 
thentif izierungsmittels (10) an das Authentif izie- 
rungsprogramm (5) und dadurch bedingtes automatisches Erzeu- 
gen einer den Trager des zweiten Authentif izierungsmittels 
(10) identif izierenden Identif ikationsinf ormation, 

Freischalten einer Zugangsberechtigung fur den Systemtechni- 
ker (8) und automatisches Auslosen einer Funktion zum Erzeu- 
gen und Speichern einer die Tatigkeit des Systemtechnikers 
(8) an der Datenverarbeitungsanlage (Dl) protokollierenden 
3 0 Protokolldatei . 

2. Verfahren nach Anspruch 1, wobei das zweite Authentif izie- 
rungsmittel (10) mittels des Authentif izierung sprogramms 
(5) durch Zugriff auf eine verifizierte zweite Authentif i- 

35 zierungsmittel (10) enthaltende Datei verglichen und bei 

Ubereinstimmung mit einem der verif izierten zweiten Au- 
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thentif izierungsmittel (10) eine entsprechende Information 
an den Systemadministrator (4) ubermittelt wird. 

3. Verfahren nach einem der vorhergehenden Anspriiche, wobei 
jedem in der Datei enthaltenen verif izierten zweiten Au- 
thentif izierungsmittel (10) eine dafur spezifische Identi- 
f ikationsinf ormation zugeordnet ist. 

4. Verfahren nach einem der vorhergehenden Anspriiche, wobei 
die Identif ikationsinf ormation den Namen und ggf . die Zu- 
gehorigkeit des Systemtechnikers (8) zu einer bestimmten 
Organisation umfasst. 

5. Verfahren nach einem der vorhergehenden Anspriiche, wobei 
das erste (9) und/oder das zweite Au thentif izierungsmittel 
(10) ein, vorzugsweise mittels einer an einer Datenverar- 
beitungseinheit (1, 7) vorgesehenen Tastatur, an das Au- 
thentif izierungsprogramm (5) tibergebbarer Authentif izie- 
rungscode ist. 

6. Verfahren nach einem der vorhergehenden Anspriiche, wobei 
der Authentif izierungscode in einer mobilen mit der Daten- 
verarbeitungsanlage (Dl, D2) zur Datemibertragung verbind- 
baren Speichereinheit gespeichert ist. 

7. Verfahren nach einem der vorhergehenden Anspriiche, wobei 
die Speichereinheit eine mit einem Datentrager versehene 
Au thentif izierungskarte (9, 10) ist. 

8. Verfahren nach einem der vorhergehenden Anspruche, wobei 
die Authentif izierungskarte (9, 10) ein Speichermittel , 
insbesondere zum Speichern der Protokolldatei und/oder ei- 
ner den Zugriff auf die Protokolldatei ermoglichenden In- 
formation, aufweist . 

9. Verfahren nach einem der vorhergehenden Anspruche, wobei 
das Freischalten einer Zugangsberechtigung durch den Sys- 



200315168 



14 

temadministrator (4) durch manuelles Auslosen einer im Au- 
thentif i z i erungsprogr amm (5) dafur vorgesehenen und aus- 
schlieSlich dem Systeraadministrator (8) zuganglichen Funk- 
tion erfolgt. 

10. Verfahren nach einem der vorhergehenden Anspruche, wobei 
die Verbindung zwischen der ersten (1) und der zweiten Da- 
tenverarbeitungseinheit (7) uber das Internet oder ein 
Intranet hergestellt wird. 

11. Verfahren nach einem der vorhergehenden Anspruche, wobei 
mittels der Datenverarbeitungsanlage (Dl) Daten verarbei- 
tet werden, welche 

einer einzelnen Person nur mit besonderer Berechtigung 

oder 

bei Nichtvorliegen der besonderen Berechtigung nur Personen 
mit einer einfachen Berechtigung nach dem 4-Augen-Prinzip 

zuganglich gemacht werden diirfen. 

12. Verfahren nach einem der vorhergehenden Anspruche/ wobei 
die besondere Berechtigung durch Ubergabe eines der Person 
zugewiesenen dritten Authentif izierungsmittels an die Da- 
tenverarbeitungsanlage (Dl) nachgewiesen wird. 

13. Verfahren nach einem der vorhergehenden Anspruche, wobei 
die Daten schutzbediirf tige personenbezogene Daten, insbe- 
sondere Patientendaten, sind. 
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Zu s ammen f a s sung 

Verfahren zum Zugriff auf eine Datenverarbeitungsanlage 

Die Erfindung betrifft ein Verfahren zum Zugriff auf eine Da- 
tenverarbeitungsanlage (Dl) , welche aus miteinander zum Da- 
tenaustausch vernetzten Datenverarbeitungseinheiten (1, 2, 3) 
gebildet ist. Urn einen Zugriff eines Systemtechnikers (8) auf 
schutzbedurf tige Daten lediglich nach dem 4-Augen-Prinzip zu 
ermoglichen, wird erf indungsgemafi vorgeschlagen, dass einem 
Systemadministrator (4) und dem Systemtechniker (8) jeweils 
ein Authentif izierungsmittel zugewiesen ist. 



Fig. 1 
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